gdpr-dpia

GDPR / AVG — Data Protection Impact Assessment Helper

Ondersteunt bij het opstellen, reviewen en valideren van DPIA's onder de AVG (Uitvoeringswet AVG, UAVG). Focus op Nederlandse overheidscontext met BIO2-koppeling.

Wanneer is een DPIA verplicht? (AVG Art. 35 + UAVG Art. 32)

Een DPIA is verplicht bij verwerkingen met hoge privacyrisico's, met name bij:

• Grootschalige verwerking van bijzondere persoonsgegevens (gezondheid, politiek, religie, etc.)
• Grootschalige en systematische monitoring van publiek toegankelijke ruimten (CCTV)
• Geautomatiseerde besluitvorming met rechtsgevolgen (profiling, AI-besluiten)
• Gebruik van nieuwe technologieën (AI, biometrie, IoT op grote schaal)
• Grootschalige verwerking van strafrechtelijke gegevens
• Verwerking van BSN-nummers (verplicht onder UAVG)

Bron: Autoriteit Persoonsgegevens — DPIA | AVG Art. 35

DPIA Kernvragen (AP-lijst)

De Autoriteit Persoonsgegevens hanteert deze kernvragen. Beantwoord alle:

#	Vraag	Concrete invulling
P1	Doel: Waarom worden persoonsgegevens verwerkt?	Specifiek, expliciet en gerechtvaardigd doel. NIET "voor marketing en optimalisatie"
P2	Grondslag: Wat is de wettelijke basis?	Een van de 6 grondslagen: toestemming, overeenkomst, wettelijke verplichting, vitaal belang, publieke taak, gerechtvaardigd belang (NIET voor overheid bij publieke taak)
P3	Beoordeling noodzaak en evenredigheid: Zijn de gegevens noodzakelijk?	Data minimalisatie: niet meer dan nodig; kan het doel met minder data worden bereikt?
P4	Risico-inschatting: Welke risico's zijn er voor betrokkenen?	Impact × Waarschijnlijkheid; scenario's voor datalek, onbevoegde toegang, misbruik
P5	Maatregelen: Hoe worden risico's gemitigeerd?	Technisch (encryptie, pseudonimisering, access control) + organisatorisch (beleid, training, NDA's)

DPIA Stappenplan

STAP 1: AANLEIDING & SCOPE
├── Voorgenomen verwerking beschrijven
├── Bepalen of DPIA verplicht is (AP-criteria check)
├── Scope: welke data, systemen, processen, partijen?
└── Eerst verantwoordelijke(n) en verwerker(s) identificeren

STAP 2: GEGEVENS INVENTARISEREN
├── Welke persoonsgegevens? (gewoon, bijzonder, BSN, strafrechtelijk)
├── Categorieën betrokkenen (burgers, medewerkers, patiënten, etc.)
├── Bewaartermijnen per gegevenssoort (wettelijk vereist?)
└── Bronnen van de gegevens (van betrokkene zelf, van derden?)

STAP 3: VERWERKING ANALYSEREN
├── Doel(en) van verwerking — specifiek en gerechtvaardigd?
├── Grondslag — welke AVG-grondslag en is deze valide?
├── Noodzaak — is elk gegevenstype noodzakelijk voor het doel?
└── Ontvangers — wie krijgt de data en waarom?

STAP 4: RISICO-ANALYSE
├── Dreigingen identificeren (menselijk, technisch, organisatorisch)
├── Kwetsbaarheden in kaart brengen
├── Impact per dreiging (op privacy, grondrechten, autonomie)
├── Waarschijnlijkheid per dreiging
└── Risicomatrix: Impact × Waarschijnlijkheid

STAP 5: MAATREGELEN BESCHRIJVEN
├── Technische maatregelen (encryptie, pseudonimisering, logging)
├── Organisatorische maatregelen (beleid, training, procedures)
├── Toegangsbeheer (RBAC, need-to-know, MFA)
├── Data lifecycle: hoe wordt data verwijderd?
└── Monitoring: hoe wordt compliance geborgd?

STAP 6: CONCLUSIE & GOEDKEURING
├── Resterende risico's na mitigatie
├── Aanvaardbaar of niet?
├── Advies FG/DPO
├── Goedkeuring door verwerkingsverantwoordelijke
└── Publicatie (aanbevolen, niet verplicht tenzij overheidsorgaan)

Verwerkingsgrondslagen (Art. 6 AVG)

Grondslag	Wanneer van toepassing	Valkuil
Toestemming (Art. 6(1)(a))	Vrij, specifiek, geïnformeerd en ondubbelzinnig; intrekbaar	ONGELDIG bij machtsongelijkheid (werkgever-werknemer, overheid-burger = bijna nooit geldig!)
Overeenkomst (Art. 6(1)(b))	Noodzakelijk voor uitvoering contract	Alleen strikt noodzakelijke data
Wettelijke verplichting (Art. 6(1)(c))	Wet vereist de verwerking	Check: WELKE wet precies?
Vitaal belang (Art. 6(1)(d))	Leven of gezondheid in direct gevaar	Alleen acute noodsituaties
Publieke taak (Art. 6(1)(e))	Overheid voert publiekrechtelijke taak uit	Meest voorkomend voor overheid; vereist formele taaktoewijzing
Gerechtvaardigd belang (Art. 6(1)(f))	Belang organisatie > privacy betrokkene	NIET voor overheid bij uitvoering publieke taak (alleen voor bedrijfsvoering!)

DPIA Checklist — Overheid

Aanvullend op de basis DPIA:

• BIO2-maatregelen verwerkt in DPIA (logging, encryptie, toegang, MFA)
• IAMA of FRIA uitgevoerd? (overlap met DPIA — niet dubbel starten)
• FG/DPO geraadpleegd en advies gedocumenteerd
• Verwerkersovereenkomst aanwezig voor elke verwerker
• Sub-verwerkers in kaart en geaccepteerd
• Doorgifte derde landen: Is er een adequaatheidsbesluit of passende waarborgen? (SCC's, BCR's)
• Data minimisation toegepast: welke velden zijn ECHT nodig?
• Bewaartermijnen per gegevenstype vastgesteld — wettelijke basis documenteren
• Rechten van betrokkenen geborgd (inzage, correctie, verwijdering, dataportabiliteit, bezwaar)
• Datalekprocedure ingericht: melden aan AP binnen 72 uur
• Privacy by design & default toegepast in architectuur

Bewaartermijnen — Overheidscontext

Type gegeven	Minimale bewaartermijn	Wettelijke basis
Financiële administratie	7 jaar	Belastingwetgeving
Personeelsdossiers	2 jaar na uitdiensttreding (basis) + 7 jaar fiscal	UAVG + Belastingwet
Bouwvergunningen	Altijd (onbeperkt)	Wabo / Omgevingswet
BRP-gegevens	Volgens BRP-regels, na overlijden naar archief	Wet BRP
Rechtspraak uitspraken	Permanent bewaren	Archiefwet
Medische gegevens	15 jaar (WGBO) of 20 jaar (sommige specialismen)	WGBO
Camerabeelden openbare ruimte	Max 4 weken (tenzij incident)	AP-richtlijn
Sollicitatiegegevens	4 weken na einde procedure (of max 1 jaar met toestemming)	AP-richtlijn
Logbestanden beveiliging	Minimaal 3 jaar (BIO2 5.28.01)	BIO2

Check: Is elke bewaartermijn wettelijk onderbouwd? "Voor de zekerheid" is geen geldige grond.

Verwerkersovereenkomst Checklist

Elke verwerker (externe partij die persoonsgegevens verwerkt namens jou) vereist een verwerkersovereenkomst (Art. 28 AVG):

• Voorwerp en duur van de verwerking
• Aard en doel van de verwerking
• Type persoonsgegevens en categorieën betrokkenen
• Instructie: verwerker handelt ALLEEN volgens instructies verantwoordelijke
• Geheimhouding: verwerker en medewerkers verplicht tot geheimhouding
• Beveiliging: passende technische en organisatorische maatregelen (Art. 32)
• Sub-verwerkers: alleen met voorafgaande schriftelijke toestemming
• Datalekken: bijstand bij meldplicht (72u)
• DPIA-ondersteuning: verwerker helpt bij DPIA
• Rechten betrokkenen: verwerker ondersteunt bij inzage/correctie/verwijdering
• Data verwijdering/devolutie bij einde contract
• Auditrecht: verantwoordelijke mag audits uitvoeren bij verwerker
• Doorgifte derde landen: expliciet regelen indien van toepassing

Verwerkingsregister Minimum Veldlijst

Het verwerkingsregister (Art. 30 AVG) is wettelijk verplicht. Per verwerking minimaal opnemen:

• Naam en contactgegevens verwerkingsverantwoordelijke (en FG)
• Doeleinden van de verwerking
• Categorieën betrokkenen
• Categorieën persoonsgegevens
• Categorieën ontvangers (incl. derde landen)
• Bewaartermijnen (of criteria)
• Technische en organisatorische beveiligingsmaatregelen
• Doorgifte aan derde landen (met waarborgen)

Boetes

Overtreding	Maximum	Voorbeeld
Basisinbreuken (Art. 83(4))	€10M of 2%	Geen verwerkingsregister, geen FG, onvoldoende beveiliging
Zware inbreuken (Art. 83(5))	€20M of 4%	Geen grondslag, schending rechten betrokkenen, doorgifte zonder waarborgen

Voor de overheid: de AP kan ook bestuursdwang toepassen.

Meer informatie

• AP — DPIA
• AP — DPIA-model
• EUR-Lex — AVG
• GDPR.eu — Complete guide
• Rijksoverheid — Privacy by design